論劍黃山，大數(shù)據(jù)時代信息安全需主動

　　如今的世界處于“大數(shù)據(jù)”時代 — 安全大數(shù)據(jù)。了解難以察覺的安全威脅會耗費(fèi)數(shù)天甚至數(shù)月的時間。大量的互不相干的數(shù)據(jù)流難以形成簡明、有條理的事件“拼圖”。所采集和分析的數(shù)據(jù)量越大，看起來越混亂，重構(gòu)事件所需的時間也越長。如果攻擊快速且兇猛(例如拒絕服務(wù)攻擊或快速傳播的蠕蟲)，花數(shù)天或數(shù)月診斷問題會帶來巨大的合規(guī)和財(cái)務(wù)影響。哪些資產(chǎn)真正處于威脅風(fēng)險中，哪些資產(chǎn)有補(bǔ)救控制或應(yīng)對措施?為了回答這一問題，管理員需要監(jiān)控所有系統(tǒng)的安全狀況，包括訪問其網(wǎng)絡(luò)的移動設(shè)備和個人擁有設(shè)備， 并及時確定優(yōu)先級和補(bǔ)救措施。 研究報告證實(shí)，只有35%的企業(yè)可以快速檢測安全漏洞，多數(shù)商業(yè)機(jī)構(gòu)都缺乏駕馭大數(shù)據(jù)的安全力量。現(xiàn)在，企業(yè)安全信息和事件管理(SIEM)越來越受到重視。這種安全技術(shù)被視為一種飛躍，即采取主動的安全分析和實(shí)時態(tài)勢感知，以大數(shù)據(jù)分析的方法，實(shí)現(xiàn)真正針對大數(shù)據(jù)的安全管理。

　　9月14日，邁克菲舉辦安全互聯(lián)高層研討會，吸引了來自電信、金融、制造業(yè)和高科技公司的30余名IT負(fù)責(zé)人和安全主管。會上，大家針對大數(shù)據(jù)時代下信息安全及安全事件管理展開了熱烈討論。

　　現(xiàn)在，每周有近469,000個惡意軟件樣本產(chǎn)生，它們目標(biāo)更明確，手段更隱蔽，持續(xù)時間更長，有的甚至可以以一年、幾年作為周期，竊取機(jī)密數(shù)據(jù);有高達(dá)83%的企業(yè)遭受過高級持續(xù)威脅攻擊……而僅以邁克菲為例，每天分析的病毒樣本數(shù)量，平均在十幾萬單量級?？梢姡谛畔⒓夹g(shù)、云計(jì)算和大數(shù)據(jù)為整個IT及眾多行業(yè)帶來機(jī)會的同時，也為企業(yè)的信息安全提出了更高的要求。

　　邁克菲采用的EDB專利技術(shù)是SIEM的核心。EDB可以借助高度索引的專業(yè)數(shù)據(jù)庫，實(shí)現(xiàn)大規(guī)模高性能集成日志和事件采集。根據(jù)環(huán)境實(shí)時豐富完善數(shù)據(jù)，以獲取智能信息，并針對當(dāng)前和歷史數(shù)據(jù)提供在線報告和分析。快速響應(yīng)是其顯著特點(diǎn)。比如實(shí)例證明：在4核8G內(nèi)存的相同環(huán)境下，傳統(tǒng)數(shù)據(jù)庫MYSQL， 后臺直接查詢760多萬條數(shù)據(jù)，統(tǒng)計(jì)需要花費(fèi)近37秒，抽取近千萬級條數(shù)據(jù)時，花費(fèi)43秒。而在同等硬件環(huán)境下， McAfee SIEM借助EDB技術(shù)處理6000萬條數(shù)據(jù)量時，數(shù)量翻了數(shù)倍，但無論統(tǒng)計(jì)還是抽取，雖然涉及到前臺UI交換，但幾乎在幾秒內(nèi)實(shí)時完成。

　　同時由于EDB無需DBA就可以進(jìn)行快速部署，無需進(jìn)行持續(xù)數(shù)據(jù)采集優(yōu)化，只需輕點(diǎn)鼠標(biāo)就可以深入分析所需信息，并自動關(guān)聯(lián)環(huán)境和事件，所有這一切將使企業(yè)花費(fèi)更少的時間在管理上，充分提高運(yùn)營效率。

　　在邁克菲看來，大數(shù)據(jù)時代，傳統(tǒng)的事件發(fā)生后再進(jìn)行清理的模式已經(jīng)不適用。企業(yè)需要通過自動化分析處理與深度挖掘，將成本高昂的被動的、亡羊補(bǔ)牢式的事中、事后處理，轉(zhuǎn)變?yōu)槭虑白詣釉u估預(yù)測，采取前瞻性、優(yōu)化的安全方法，讓安全防護(hù)主動起來。

　　“企業(yè)也不能再孤立地解決安全難題，而是要構(gòu)建綜合防御體系，全面覆蓋所有潛在威脅，”邁克菲安全專家在會上說道。作為邁克菲安全互聯(lián)平臺發(fā)動機(jī)和心臟的安全信息與事件管理，可將其全球威脅智能感知系統(tǒng)與應(yīng)用、終端、網(wǎng)絡(luò)、數(shù)據(jù)庫等其它渠道信息進(jìn)行整合，對安全數(shù)據(jù)進(jìn)行實(shí)時分析。此外，IPS、防火墻等技術(shù)也被融入SIEM解決方案中，與其數(shù)據(jù)捕獲、關(guān)聯(lián)和分析功能相結(jié)合，以提高威脅跟蹤與風(fēng)險評估能力，從而實(shí)現(xiàn)實(shí)時協(xié)作、受控響應(yīng)及精確報告。

　　受益于邁克菲的安全互聯(lián)策略，企業(yè)不會再是根據(jù)有限或孤立的數(shù)據(jù)來做出臨時性應(yīng)對決策，而是在明確了解關(guān)聯(lián)事件及其對基礎(chǔ)設(shè)施的影響后，采取果斷行動。包括三星，甲骨文，AIA在內(nèi)的高科技企業(yè)，銀行，保險，政府和教育機(jī)構(gòu)已經(jīng)采用邁克菲的SIEM解決方案。邁克菲正在幫助世界各地的諸多企業(yè)和機(jī)構(gòu)快速做出安全決策提供堅(jiān)實(shí)的判斷依據(jù)。

　　近年來以重要基礎(chǔ)設(shè)施為目標(biāo)的網(wǎng)絡(luò)攻擊日益盛行，2012年伊朗核電站就遭受了火焰病毒的網(wǎng)絡(luò)攻擊。研討會上，來自邁克菲的安全專家，通過簡單直觀的電機(jī)運(yùn)行場景，演示了邁克菲如何通過SIEM監(jiān)測以工業(yè)系統(tǒng)為目標(biāo)的網(wǎng)絡(luò)攻擊，并結(jié)合動態(tài)感知系統(tǒng)對企業(yè)實(shí)施有效保護(hù)。